GARANTE PRIVACY - Nota 17 febbraio 2017, n. 424 Lavoro: vietati i

GARANTE PRIVACY - Nota 17 febbraio 2017, n. 424
Lavoro: vietati i controlli indiscriminati su e-mail e smartphone aziendali - Telemarketing:
no all'uso dei numeri di telefono "pescati" in rete - Consoli onorari e passaporto elettronico
a prova di privacy
Lavoro: vietati i controlli indiscriminati su e-mail e smartphone aziendali
Il datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali
contenuti negli smartphone in dotazione al personale.
È un comportamento illecito. Lo ha ribadito il Garante della privacy vietando a una multinazionale
l'ulteriore utilizzo dei dati personali trattati in violazione di legge. (doc. n.5958296)
La società potrà solo conservarli per la tutela dei diritti in sede giudiziaria.
Nel disporre il divieto l'Autorità ha affermato che il datore di lavoro, pur avendo la facoltà di verificare
l'esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da
parte dei dipendenti, deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti
previsti dalla normativa. La disciplina di settore in materia di controlli a distanza, inoltre, non consente di
effettuare attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e
indiscriminato dell'attività del lavoratore.
I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo
degli strumenti aziendali ed eventuali verifiche.
La vicenda nasce dal reclamo di un dipendente che si era rivolto al Garante lamentando un illegittimo
trattamento effettuato da una multinazionale, che avrebbe acquisito informazioni anche private
contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo
licenziamento.
Dai riscontri effettuati dall'Autorità sono effettivamente emerse numerose irregolarità. La società, ad
esempio, non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli
strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati. Aveva poi configurato il
sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni,
un tempo non proporzionato allo scopo della raccolta. Esisteva anche una procedura che consentiva
alla società di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere
anche carattere privato. E' inoltre emerso che la società continuava a mantenere attive le caselle e-mail
fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di
consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai
legittimi destinatari ma da altri soggetti.
Nel corso dell'istruttoria è stato accertato inoltre, che il titolare poteva accedere da remoto - non solo
per attività di manutenzione - alle informazioni contenute negli smartphone in dotazione ai dipendenti
(anche privatissime e non attinenti allo svolgimento dell'attività lavorativa), di copiarle o cancellarle, di
comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.
Il Garante ha disposto l'apertura di un autonomo procedimento per verificare l'applicazione di eventuali
sanzioni amministrative.
Telemarketing: no all'uso dei numeri di telefono "pescati" in rete
No al telemarketing con i numeri di telefono "pescati" in internet e contattati senza il consenso
informato dei destinatari. Il principio è stato ribadito dal Garante privacy che ha vietato a una società
l'uso delle utenze telefoniche reperite on line a fini promozionali. (doc. n.5986406)
Dagli accertamenti, svolti, dall'Autorità in collaborazione con il Nucleo speciale privacy della Guardia di
finanza, è emerso che la società, attiva nell'offerta di servizi in Internet (costruzione e gestione di siti
web, posizionamento nei motori di ricerca, vendita di spazi pubblicitari e attività di social media
marketing), per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente le
utenze reperite in rete, in genere numeri di telefono di liberi professionisti e imprese individuali presenti
nell'area "contatti" dei siti. Un trattamento non in linea con la disciplina di protezione dei dati personali
perché effettuato senza aver prima acquisito il consenso informato dei destinatari e in violazione del
principio di finalità. La circostanza, infatti, che i numeri di telefono presenti in Internet siano liberamente
conoscibili da chiunque, non significa che possano essere legittimamente usati per finalità (come il
marketing) diverse da quelle per cui sono stati pubblicati on line.
Il Garante inoltre, ha vietato alla società l'uso dei dati per finalità promozionali, in particolare tramite
l'invio automatizzato di e-mail, di quanti richiedevano i preventivi sui servizi resi grazie a un form
disponibile sul sito. Nel modello, che ora la società dovrà modificare, il potenziale cliente poteva
selezionare solo un'unica casella sia per finalità contrattuali sia per il trattamento di dati per fini
pubblicitari, ricerche di mercato e sondaggi via mail.
Pur prendendo atto della dichiarazione della società di non aver svolto attività promozionali, il Garante
ha ritenuto illecita la raccolta effettuata mediante il form. Tra i clienti che non hanno potuto manifestare
il libero e specifico consenso per l'invio di comunicazioni automatizzate promozionali, oltre a imprese
individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all'art. 130
del Codice, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (email, telefonate, sms).
L'Autorità si è riservata di valutare l'applicazione delle sanzioni amministrative previste dal Codice per
le violazioni rilevate.
Consoli onorari e passaporto elettronico a prova di privacy
Via libera del Garante privacy all'introduzione di alcune modifiche nella procedura di emissione del
passaporto elettronico per i residenti all'estero.
Le integrazioni proposte intendono semplificare e rendere più sicuri i processi di acquisizione e
trasmissione dei dati da parte dei consoli onorari abilitati.
Il parere dell'Autorità (doc. n. 5953053) è stato reso al Ministero degli affari esteri (MAE) su un testo
che aggiorna il provvedimento che fissa le regole tecniche del processo di emissione del passaporto
elettronico, sul quale il Garante si era già espresso nel 2012.
L'attuale procedura, per minimizzare i disagi dei residenti in località lontane o poco collegate con la
sede consolare di prima categoria, consente l'acquisizione dei dati, inclusi quelli biometrici - immagine
del volto ed impronte digitali- utilizzando postazioni mobili in dotazione ai consoli onorari dislocati sul
territorio e ai funzionari consolari itineranti. I dati così acquisiti vengono poi scaricati presso la sede
consolare competente per l'emissione del documento.
La novità, proposta dal MAE e approvata dal Garante con precise indicazioni e suggerimenti a tutela
dei dati personali trattati, prevede invece che i consoli onorari, ma non i funzionari itineranti, che
continueranno a seguire la procedura in vigore, trasferiscano direttamente e in via telematica la
documentazione acquisita al MAE anziché alla sede consolare competente, che a sua volta riceverà le
informazioni necessarie al rilascio del passaporto dal Ministero.
Questo consentirà di evitare il trasporto fisico delle postazioni mobili con minori costi e di ampliare il
numero dei Consoli onorari disponibili per la raccolta dei dati sul territorio.
I dati saranno cancellati dalla postazione mobile all'atto della trasmissione al Ministero, che avverrà in
modalità sicura attraverso misure rafforzate, tra cui, una procedura di autenticazione forte e l'adozione
di tecniche di cifratura dei dati personali sui dispositivi mobili.